“生物识别技术潜藏风险 专家:客户无需过度担忧”
据中央广播电台1月31日消息,经济之声《每日315》报道,近日,“一枚橘子皮可以打开你手机指纹的钥匙,还可以转账”的视频在网上热传。 视频显示,需要指纹识别的手机,只要采用少量的解决方案,谁都可以解锁指纹,甚至橘子皮都可以。
除了这个视频之外,客户爆炸,手机掉到地上后,指纹解锁功能失效,任何人都可以用指纹解锁这个手机。 据央视报道,来自安徽的徐手机掉在地上,指纹的触摸键出现了裂缝。 他很惊讶,后来别人可以用指纹解锁他的手机了。 不仅如此,手机中的一点是需要指纹识别的支付应用,陌生指纹也可以被验证采用。
小许说:“我的手机不小心掉在地上了。 然后我看到上面有裂缝。 我觉得指纹功能可能用不上,所以试着用了一下。 还是一样的。 可以支付支付宝( Alipay )指纹。 第二天,我在班上玩手机。 同学摸了我的手机,解锁了。 当时我有点无知。 他第一次用我的手机,为什么他能解锁? 后来发现所有人都可以解锁,手机支付什么都可以。 ”。
随后,徐先生立即联系了手机制造商,商家为徐先生屏蔽了指纹功能。 另外,网上“一枚橘子皮可以打开手机指纹锁,还可以汇款”的复印件和视频备受瞩目。 其中谈到,对于需要指纹认证的手机,只要采用少量的解决方案,谁都可以解锁,橘子皮也可以。
苏州一家科技企业的技术人员看了网上的视频,知道了这个事情,在实验室模拟了手机指纹的触摸键的裂缝图案,经过多次实验,他们发现即使手机没有任何损伤,解决一点后,依然可以破译指纹的钥匙,希望
技术人员表示,他们根据网上视频中反映的手机指纹触摸键开裂的线索,在实验室模拟了裂缝模式,多次实验发现,打破指纹验证的关键是指纹触摸键的模式。 “裂缝本身会在传感器上形成一定的图案,但是贴上薄膜后,薄膜上的导电性介质会在传感器上形成一定的图案。 这个图案挡在手指前面,代替指纹。 这样,软件系统就会收到这些模式成分的图,并认识到它,所以它也会通过。 ”。
但是,技术人员强调,要用橘子皮解开指纹锁需要特定的前提。 首先,需要小胶布或市面上出售的指纹片,在背面用导电性笔勾上图案,贴在手机指纹被验证的部位。 然后,所有者的指纹触摸到这个磁带和指纹的粘贴,解锁成功后接通几次,其他人就可以随便开机了。
技术人员表示,指纹传感器收到的新闻中含有贴在指纹上的导电性涂层,完全不是机器主指的指纹。 进行指纹比对时,如果部分新闻相同,就可以通过验证。 这个需要解决,所以其他人的指纹可以验证。
技术人员说:“早期的指纹识别技术,如身份证、考勤、公安刑侦案件解决的原理是看手指的细节特点,但该技术并不是手机普遍使用的,首要原因是手机传感器面积特别小,新闻很少,所以在领域内很新。
即使需要许多特定的前提,指纹解锁功能的技术漏洞也不容忽视。 指纹识别不仅是手机,无论是微型笔记本电脑,还是防盗门的电子钥匙,都使用指纹识别的方法。 在这些行业中,指纹识别也存在这样的漏洞。 在笔记本电脑上,技术人员将指纹贴在背面,用导电笔涂抹,然后贴在指纹识别的触摸键上。 然后,所有者在这台计算机的系统上设置指纹,打开电源,输入自己的指纹。 接下来,别人打开这台电脑,用指纹试了几次之后,同样可以验证并接通电源。 随后,技术人员对某门锁进行了实验,发现了同样的安全隐患。
专家表示,该漏洞与各个行业的各种产品相关,但如果指纹的触摸键没有损伤或指纹贴,则可以不用太担心,可以正常采用。 清华大学自动化系副教授冯建江提醒客户,如果在意安全性,尽量不要使用指纹贴。 此外,在进行指纹认证之前,最好预先检查触摸键上是否粘贴了其他异物和图案。 “这个一定要检查一下,把那个胶卷撕下来,如果手机不小心碎了,可以试试简单的方法。 即使是未注册的手指,解锁是否成功,如果解锁成功,也证明存在该漏洞。 ”
除了指纹解锁功能之外,面部识别、虹膜识别等生物识别系统也关注着生物识别技术有可能蕴含着安全风险。 奇虎360企业副总裁、新加坡国立大学教授颜水成对此表示:“世界上没有完美的技术,如果在特定的场合,新技术的正确性能够满足要求,能够承受错误带来的风险,那就值得了。”
从安全方面考虑,多种验证方法最好交叉采用,特别是提出了对安全要求极高的金融场景。 例如,为了防止照片、视频播放、3d耳机等假脸攻击,银行会洗脸取款,进行人脸识别、手机号码和身份证验证、密码验证等三层防护。 据悉,目前工信部、质检总局等相关部门介入调查。 一般反映客户不会感到恐慌,而是会观察预防措施。 在保证安全的前提下,对新技术、新工艺保持接受态度。
奇虎360无线电安全研究专家付杰表示,生物识别系统存在漏洞,但客户不必因噎废食。
付杰表示,从安全人员的角度来看,手机指纹解锁还有一定的安全隐患,手机指纹解锁功能的局限性、容错机制造成了桔皮的安全性问题。 网上的桔子皮解锁流程其实多而杂,可行性不高,客户不必太慌张。 这个技术还很成熟。 虽然安全这个问题一直存在,但我们不能因为其安全风险而放弃整个技术前景。 如果存在rot这个概念,一定会发生安全问题。 这需要所有安全研究者的协助。 必须弥补这个漏洞。 ”
对此话题,北京潮阳律师事务所律师胡钢和北京志霖律师事务所律师赵占领进行了分解和解读。
经济之声:你对橘子皮秒开指纹锁的视频有什么看法?
赵占领:“通常,出于安全考虑,手机设置了密码,但每次锁定屏幕后进入时,都需要输入密码。 因为这很麻烦,所以指纹解锁实际上非常方便。 除了手机以外,手机也有指纹功能的应用程序,如微信支付和支付宝( Alipay )支付等。 因为需要记住很多密码,所以很多人都启用了指纹支付功能。 总体来说,指纹解锁和指纹支付确实很方便。 指纹解锁绝对不安全,也可能有漏洞,但不必惊慌。 毕竟,首先有人得到你的手机,然后找专家,需要用比较多的复杂操作来求解。 那不仅是解除指纹的锁定,还是设定普通密码。 手机被盗或丢失后,专家也许也能通过一点手段破解这个密码。 不要对这样的事件感到恐慌。 另一方面,我们也需要关注内部存在的安全问题。 ”。
胡钢:“这样的小实验确实让我们吃惊,也让我们有点想法。 以前流传下来的密码越来越强调随机性。 例如数字、图像等。 也就是说,这个密码本身是可以交换的。 目前,由于这种生物识别技术的飞速发展,密码与以往大不相同,其很大的优点是无论虹膜识别、指纹识别、语音识别、面部识别都是客户的个人新闻,只要不接受巨大的侵入性调整手术,就具有唯一性。 如果将该密码用于所谓的闭路系统,例如给我特定的保险箱或按指纹锁,在这个小环境中就比较安全。 但是,一旦进入开放的系统,特别是与网络相连的系统,其危险性就会迅速增大。 因为虹膜、指纹、声音等的唯一性容易复制到数字化的东西上,长期来看有风险。
我非常同意相关专家说的“新技术,如果风险可以控制,就继续允许。” 但是在指纹被破译的情况下,实际上是出示给整个手机制造商的,必须提高性价比,考虑安全性。 例如,对发生的安全问题,实施保险赔偿制度,顾客可以更放心。 事实上,手机和这种敏感终端的制造商只有主动向顾客提供选择性责任保险制度,向顾客充分披露潜在的风险,才会更合适。 ”
经济之声:如果手机指纹被他人解锁,同时发生财产损失,可以要求赔偿吗?
赵占领:“要看客户损失是什么,有支付账户、网银账户等指纹解锁密码被破解后的直接财产损失。 个人新闻泄露,隐私泄露,比如手机指纹解锁功能被破解,手机敏感的个人文件可能被泄露了。 虽然没有这样直接的财产损失,但对客户个人来说也是很大的损失。
不管是财产损失还是个人新闻泄露,责任到底由谁来承担? 手机制造商有责任吗? 手机制造商是否有过失很重要,任何技术都没有绝对的安全,但至少要看在现有的技术条件下,制造商是否采取相应的技术预防措施,最大限度地不引发安全隐患。 另外,如果手机丢失被解锁,其中个人新闻隐私被泄露,如果手机制造商的技术存在安全漏洞,给顾客造成损失,手机制造商有可能承担责任等,要看这个损失和手机制造商的直接因果关系 但是,很多手机制造商通过顾客协商等方法,免除了这一责任。 这个“免除”一定会被免除吗? 法律上可能还有问题。 因为这样的条款是风格条款。 本风格条款的单方面免责受《顾客权益保护法》、《合同法》的制约。 也就是说,霸王条款是不存在的。 否则,这样的条款可能无效。
此外,财产损失一般与稍微具体一点的应用软件有关。 例如,一点支付软件的应用,就要看这些软件本身是否有相关的安全措施,是否有相当大的安全保障义务。 否则,遭受损失的客户也需要承担相应的赔偿责任。 ”
经济实惠的声音:关于手机指纹识别、脸部识别等新的技术功能,生物识别技术中也可能潜在着安全风险。 客户在采用同样的产品时,需要更加慎重地应对吗?
赵占领:“首先,我们需要对这些新技术的出现持开放态度,并且采取更加慎重的态度。 两者实际上并不矛盾。 在这个过程中有风险。 特别是因为它关系到许多客户的人身财产和个人新闻的安全。
因为目前还没有绝对安全的技术,比如人脸识别开始应用于很多行业,相对于以前流传下来的密码和芯片有很多独特的特征,但是人脸识别也同样有可能被解读和伪造。 如何关注这些风险,需要技术制造商在其中发挥更大的作用,不断依靠新技术处理新问题。 另外,一个领域的主管部门需要及时关注新出现的安全问题,特别是出现这种新问题时,很多顾客的个人新闻有可能会被泄露。 例如,今天例子中提到的工信部、质检总局开始引起关注,不仅是技术制造商、普通客户,监管部门、领域协会和相关公司也要关注,证明要更好地促进新技术、新应用的快速发展。 ”
经济实惠的呼声:使用手机支付功能的客户很多。 客户应该如何观察手机支付是否安全,自己的财产是否受损?
胡钢:“现在手机真的很重要,占了我们生活的很多方面。 如果您认为手机可能会因盗窃、丢失、掉落或手机进水等原因受到损害,是否需要采取紧急备份措施? 例如,如果手机被盗,我们必须立即补办手机的sim卡,停止或修改各种绑定服务,但相关密码需要记录在纸上,只要能放在两个以上不同的地方就可以了 另外,隐私新闻、隐私新闻这一类,非常像个人新闻,尽量不在手机上留下。 对于财务敏感的新闻,尽量使在线直接支付的账户总额与收入一致,从而有助于控制损失。 总体来说,金融客户权益保护的力量应该仍然介于巨大的增长空之间,保护自己的手机,往往相当于保护自己的个人和财产安全。 ”。
免责声明:大公报业网是一个完全人工审核编辑的开放式分类目录网站,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站将予以删除。